detecting-azure-lateral-movement
作者 mukul975detecting-azure-lateral-movement 帮助安全分析师利用 Microsoft Graph 审计日志、登录遥测和 KQL 关联,在 Azure AD/Entra ID 与 Microsoft Sentinel 中狩猎横向移动。适用于事件分诊、检测工程和安全审计流程,覆盖同意滥用、服务主体误用、令牌窃取以及跨租户跳转等场景。
该技能得分为 78/100,说明它是目录中面向需要 Azure/Entra ID 横向移动狩猎支持用户的一个可靠候选。仓库提供了真实可用的检测内容、明确的触发上下文,以及足够的操作信息,减少了与通用提示词相比的摸索成本;不过安装页仍应注明一些实现层面的空缺。
- 用途明确,并给出何时使用的指引,覆盖事件响应、威胁狩猎和监控覆盖验证。
- 工作流证据具体:Microsoft Graph 审计/登录端点与 Sentinel KQL 检测,覆盖同意授权、服务主体滥用和令牌重放。
- 支持脚本和 API 参考表明该技能面向可执行的狩猎流程,而不只是叙述性说明。
- 虽然包含前置条件,但摘录中至少有一条要求被截断或表述不清,因此在使用前可能需要额外核实安装设置。
- 没有安装命令,且可见的渐进式展开信号有限,用户可能需要查看脚本和参考文件才能弄清确切的执行步骤。
detecting-azure-lateral-movement 技能概览
detecting-azure-lateral-movement 是一项面向 Azure AD/Entra ID 和 Microsoft Sentinel 环境中横向移动狩猎的网络安全技能。它帮助分析人员把模糊的事件问题,转化为围绕 Microsoft Graph 审计数据、登录日志和 KQL 关联分析构建的可落地检测。如果你需要把 detecting-azure-lateral-movement 用于 Security Audit,核心任务就是尽早识别可疑的身份滥用:同意授权、服务主体滥用、令牌重放、跨租户跳转,以及相关的提权路径。
这个技能最适合什么场景
当你在构建检测规则、分流身份安全事件,或者验证云优先攻击技术的覆盖面时,用这个技能最合适。它很适合 SOC 分析师、威胁狩猎人员和安全工程师,他们需要的是一份聚焦的 detecting-azure-lateral-movement 指南,而不是泛泛的 Azure 安全提示词。
它的不同之处
这个技能不只是查日志。它更强调关联多个 Azure 数据源,并把这些信号映射到真实可行的攻击路径。这一点很关键,因为 Entra ID 中的横向移动往往留下的是零散、弱信号的痕迹,而不是某个一眼就能看出的事件。
什么时候不适合用
如果你的目标是 Azure 的通用加固、IAM 设计,或者非安全类的运维任务,这不是合适的工具。它也不能替代完整的事件响应流程或成熟的检测工程平台。
如何使用 detecting-azure-lateral-movement 技能
安装并检查技能文件
使用仓库路径加载技能:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-azure-lateral-movement
在决定是否安装 detecting-azure-lateral-movement 时,最值得先看的文件是 skills/detecting-azure-lateral-movement/SKILL.md、references/api-reference.md 和 scripts/agent.py。如果你想先了解端点和 KQL 背景,先读 reference 文件;如果你想理解执行流程和 indicator 逻辑,先读脚本文件。
提供正确的输入
这个技能在你给出明确的狩猎目标时效果最好,而不是笼统提问。高质量输入应包含租户上下文、可用日志源、时间范围,以及你想验证的可疑行为。
好的提示词示例:
- “使用 Sentinel KQL 和 Graph 审计日志,调查 Microsoft 365 租户中最近 7 天是否存在 OAuth 同意滥用。”
- “在假设我有 SigninLogs 和 AuditLogs 的情况下,构建针对 Entra ID 跨租户登录异常和令牌重放的检测。”
- “创建一条逐步狩猎流程,用于查找与提权相关的服务主体凭据新增。”
使用与环境匹配的工作流
先从攻击模式出发,再映射到可用遥测,最后细化成查询或调查序列。如果你只有 Microsoft Sentinel,就优先使用 KQL;如果你可以直接查询 Microsoft Graph,就先用它做目录审计和服务主体检查,再把结果关联回登录行为。这个顺序比提示词长度更重要。
先检查仓库里的哪些内容
建议按以下顺序优先查看仓库内容:
SKILL.md:了解检测范围和前置条件。references/api-reference.md:查看 Graph 端点和示例 KQL。scripts/agent.py:查看 indicator 名称、查询流程以及对遥测数据的假设。
按这个顺序看,可以避免在真正开始狩猎前,遗漏权限、日志保留期或 API 访问等依赖条件。
detecting-azure-lateral-movement 技能常见问题
这个技能只适合 Microsoft Sentinel 用户吗?
不是。Sentinel 是主要分析界面,但这个技能也支持基于 Microsoft Graph 的调查。如果你能导出或查询 AuditLogs 和 SigninLogs,仍然可以使用这套方法论。
我需要很强的 Azure 专业知识吗?
不一定。对于已经掌握基础身份日志概念的分析师来说,detecting-azure-lateral-movement 是比较友好的。但你确实需要足够的上下文,能区分应用同意、服务主体活动和登录异常。
它和普通提示词有什么区别?
普通提示词可能只会生成一条通用的 Azure 狩猎查询。这个技能更有明确倾向:它会把你引向具体的身份滥用模式、可用遥测和可执行的分析路径。通常这能减少反复试错,并提升 detecting-azure-lateral-movement 的使用质量。
什么时候不应该用它?
不要把它用在宽泛的合规报告、租户资产盘点,或无关的终端恶意软件调查上。它最有价值的场景,是你怀疑行为涉及身份跳转、委派访问滥用,或者云原生横向移动的时候。
如何改进 detecting-azure-lateral-movement 技能
给模型更明确的遥测上下文
输入越具体,狩猎结果越好。要明确你有哪些日志、这些日志是否完整或只是抽样,以及需要搜索的时间范围。比如,“我有 30 天的 AuditLogs、14 天的 SigninLogs,没有 identity protection feed”就比“帮我查坏行为”更有操作性。
一次只锚定一条攻击路径
每次运行只选一个假设:同意授权滥用、服务主体凭据变更、令牌重放、邮箱委派,或者跨租户跳转。把太多路径混在一次请求里,通常只会得到浅层检测和较差的优先级排序。
要求输出真正能落地
最有价值的结果通常是调查步骤、KQL 和分流指导,而不只是概述。可以要求列出要检查的字段、合理的良性解释,以及第一次命中后下一条该跑的查询。这样一来,detecting-azure-lateral-movement 用于 Security Audit 时才更贴近真实工作。
在第一版结果基础上继续迭代
先用第一版输出找缺口:缺少权限、支持不了的表,或者过滤条件过于宽泛。然后加入租户特有信息、已知的合法应用,或者更窄的时间窗口。这样才能最快把 detecting-azure-lateral-movement 技能变成可重复的狩猎流程,而不是一次性的回答。